Digmine : un malware propagé par Facebook Messenger permet de miner la crypto-monnaie Monero

Les utilisateurs de plusieurs pays sont ciblés dans une campagne délivrant une nouvelle variété de logiciels malveillants appelée Digmine. Cette variété installe un mineur de crypto-monnaie Monero et une extension Chrome malveillante qui l'aide à se propager à de nouvelles victimes. Le malware se propage via Messenger, la plate-forme de messagerie instantanée officielle de Facebook.

Les fichiers utilisés pour installer le logiciel sont des fichiers EXE, ce qui signifie que seuls les utilisateurs de Windows sont actuellement ciblés. La campagne semble avoir d'abord ciblé les utilisateurs sud-coréens, mais s'est depuis rapidement propagée au Vietnam, en Azerbaïdjan, en Ukraine, au Vietnam, aux Philippines, en Thaïlande et au Venezuela.

Vecteur d’infection :

Les victimes reçoivent généralement un fichier nommé video_xxxx.zip (où xxxx est un nombre à quatre chiffres) qui essaie de se faire passer pour un fichier vidéo. L'archive contient un fichier EXE et les utilisateurs les moins vigilants vont alors exécuter le fichier qui va installer Digmine.

Digmine est écrit en AutoIt et a peu de fonctionnalités. Il permet principalement de contacter un serveur distant de commande et de contrôle (C & C) pour obtenir des instructions.

Vecteur de propagation :

Le malware installe une extension Chrome pour accéder au profil Facebook de l'utilisateur et d'envoyer des messages privés à tous les contacts de la victime contenant un fichier video_xxxx.zip similaire. Le mécanisme d'auto-propagation utilisé par cette extension Chrome ne fonctionne que si Chrome accède automatiquement aux comptes Facebook des utilisateurs. Si l'utilisateur ne dispose pas d'informations d'identification Facebook enregistrées dans Chrome, l'extension ne fonctionnera pas puisqu’elle ne pourra pas accéder à l'interface Facebook Messenger pour envoyer ses messages de spam.

Pour garantir sa persistance, Digmine ajoute également un mécanisme de démarrage automatique basé sur une clef de registre.

Recommandations :

Pour éviter ces types de menaces, il est recommandé de suivre les bonnes pratiques en matière de sécurisation des comptes de médias sociaux: réfléchir et vérifier avant de partager, tenir compte des messages suspects et non sollicités, et activer les paramètres de confidentialité du compte. Il est aussi primordial de suivre les conseils suivants :

  • Fermer les comptes non utilisés. Les comptes de médias sociaux oubliés peuvent être compromis sans être remarqués. Les pirates peuvent tirer parti de ceux-ci et accéder à d'autres comptes liés à celui-ci, notamment via l’adresse e-mail. 
  • Vérifier quelles applications sont connectées aux médias sociaux. Évaluer si ce type d'accès est nécessaire.
  • Pratiquer une bonne hygiène de mot de passe. Utiliser des mots de passe différents pour les divers comptes de médias sociaux et s’assurer que chaque mot de passe est complexe et différent. Eventuellement, l’activation de l’authentification à double facteur pour tous les comptes peut empêcher les tiers non autorisés d'accéder à vos comptes.
  • Garder les applications mobiles à jour. S’assurer d'avoir la dernière version de la plate-forme utilisée. Les correctifs de sécurité protègent des menaces les plus récentes.
  • Utiliser un e-mail unique pour les comptes de médias sociaux. Si possible, créer un nouvel e-mail spécialement pour les comptes de médias sociaux. Ainsi, si le compte est compromis, les pirates n'auront accès à aucune information valable.